DSM 6.x und darunter Let's encrypt: "No response from destination server"

[Jabberwacky]

Hallo,

schon seit einigen Jahren nutze ich problemlos die in DSM integrierte Zertifikatserstellung über Let's Encrypt. Wenn das Zertifkat ausläuft, muss man es über DSM erneuern. Dazu ist es wichtig, dass der Router den Port 443 auf die Synology weiterleitet.

Nach wie vor funktioniert diese Weiterleitung, das heißt zum Beispiel vom Mobilfunknetz komme ich über https://xyz.synology.me auf die Synology (und werde dann auf den DSM-Port weitergeleitet, den ich ebenfalls forwarde). Nur das Update des Zertifikats funktioniert nicht mehr. Es erscheint immer die Meldung "No response from the destination server. Please try again later".

Auch, wenn ich testweise die Ports 80 und 5000 weiterleite, funktioniert es nicht. Reboots helfen auch nichts. Ich benutze keine Wildcard oder zusätzliche Subdomains, einfach nur meinen Domainnamen xyz.synology.me - ich habe überhaupt nichts verändet. Und ja, auf https://account.synology.com ist ein grüner Punkt in der Spalte "Synology DDNS". Ich bin unschuldig! Hoffe ich

Hat jemand eine Idee, was ich noch untersuchen könnte, um dem Problem auf die Spur zu kommen? Vielen Dank!

Viele Grüße
Stefan

 

[Kurt-oe1kyw]

Welche Farbe hat das Datum von deinem derzeitigen Zertifikat?

 

[Jabberwacky]

Das Zertifikat ist "expired", deswegen will ich es ja erneuern. Ich versuche das nun seit Dezember, weil es da ausgelaufen ist. Im Control Panel Security, Reiter "Certificate", wird daher kein Datum mehr angezeigt, nur "expired" in roter Schrift. Welche Rolle spielt denn die Farbe?

 

[CoffeeJunk]

Du kannst ein abgelaufenes Zertifikat nicht verlängern.

 

[Kurt-oe1kyw]

Welche Rolle spielt denn die Farbe?

grün = alles ok, dein Zertifikat ist gültig
orange = dein Zertifikat ist nur noch 20 Tage gültig, du erhältst die erste Warn Email dass es aktualisiert werden soll und dann 10 Tage vor Ablauf die zweite Warnemail:



rot = dein Zertifikat ist abgelaufen und ungültig. Du musst ein neues Erstellen

Was ich ehrlich gesagt nicht Verstehe warum dein Zertifikat überhaupt abläuft, denn normalerweise sollte sich dein Zertifikat bei orangem Gültigkeitsdatum autom verlängern wenn Port 80/443 offen ist.
Also irgendwann zwischen 3 bis 20 Tage vor Ablauf verlängern sich bei mir die Zertifikate automatisch.

Siehe CoffeeJunk oben, ein verlängern vom alten Zertifikat ist nicht mehr möglich. Du musst das alte Zertifikat löschen/entfernen und danach ein komplett neues anlegen.

Hinweis:
Das zu löschende Zertifikat darf nicht als Standardzertifikat definiert sein, sonst steht die Option "Löschen" nicht zur Verfügung.

 

[Jabberwacky]

Vielen Dank für das ausführliche Feedback. Ich wähle nicht "Renew certificate an", weil es ja schon abgelaufen ist, sondern "Add" und dann "Replace existing certificate". Eine automatische Verlängerung hat bei mir noch nie stattgefunden, aber es wurde auch kein diesbezüglicher Fehler angezeigt. Das Zertifikat ist das Standard-Zertifikat und auch das einzige, das ist benötige.

Die Fehlermeldung "No response from destination server" muss sich ja auf irgend eine Aktion beziehen, die Let's Encrypt macht, aber die Ports 443 und 5001 sind offen und ich erreiche DSM über https://xyz.synology.me - wenn ich zusätzlich 80 und 5000 öffne, ändert das leider nichts.

Ich nutze den Server beruflich und bin sehr vorsichtig, experimentelle Änderungen zu machen. Ich habe ein paar Erfahrungen mit dem Synology-Service und hoffe, dass mir hier jemand einen hilfreichen Tipp geben kann. "Replace existing certificate" hat viele Jahre lang problemlos funktioniert. Es ist mir ein Rätsel, was sich geändert haben könnte.

 

[Kurt-oe1kyw]

Dann hast du jahrelang die falsche Funktion benützt.
"Replace exisiting certificate" bedeutet du hast nicht das vorhandene Zertifikat erneuert, sondern jedesmal ein komplett neues Zertifikat angefordert.
Nach m.W. ist aber die Anzahl an neuen Zertifikaten pro DDNS seitens LE begrenzt, die stehen nicht in unbegrenzter Anzahl zur Verfügung für ein und die selbe DDNS.
Ich nehme also an das jetzt die max. mögliche Anzahl an "neuen" LE Zertifikaten für deine DDNS "verbraucht" wurde und deswegen kein neues Zertifikat mehr erstellt wird.
Aber warte mal ab, ob sich die Netzwerkspezialisten hier noch dazu melden ob und wie du wieder an ein LE Zertifikat kommst.

SIehe auch:
https://letsencrypt.org/de/docs/rate-limits/

 

[Puppetmaster]

Ich hatte das Thema des nicht erreichbaren Let's Encrypt Servers auch. Habe über Wochen versucht, mein Zertifikat zu erneuern, hat aber nicht funktioniert (vorher war das kein Problem). Jetzt ist es ausgelaufen und ich hab's danach gelöscht und nutze wieder nur selbst-signierte Zertifikate. Für meine Zwecke ausreichend.
Aber warum der Server über Wochen von meiner DS nicht erreicht werden konnte ist mir nach wie vor schleierhaft.

 

[Jabberwacky]

Okay danke, das wäre möglich - aber es wird vermutlich eine detaillierte Logdatei auf der Synology liegen, die ich mir per ssh anschauen kann. Daraus sollte die tatsächliche Ursache des LE Fehlers hervorgehen, wenn wir annehmen, dass die DSM-Fehlermeldung "no response from destination server" falsch ist.

Weiß jemand, ob es eine solche Logdatei gibt und wo? Vielen Dank.

 

[Fusion]

Hab noch nicht geschaut, ob das log dauerhaft irgendwo festgehalten wird.
Einfach selber machen, z.b.
https://www.synology-forum.de/threa...en-anderen-port-als-80-443.119281/post-984700

Dann sieht man wo es hakt.

Ports bei http-01 ist normal 80 eingehend und 443 ausgehend für Kontaktierung der LE Server und Domain Validierung.
Bei Synology.me sollte er bei neuen Zertifikaten eigentlich dns-01 benutzen, also überhaupt keine offenen Ports benötigen.

 

[Jabberwacky]

Danke. Wenn ich über ssh

syno-letsencrypt renew-all -vv

aufrufe, dann kommt keinerlei Ausgabe. Keine Fehlermeldung, keine success-Meldung, nichts. Und das Zertifikat ist dasselbe, wie vorher.

Allerdings schrieb oben jemand, dass man abgelaufene Zertifikate gar nicht erneuern kann. Über DSM wähle ich immer Add new - - > replace existing und setzte das Häkchen bei "use as default". Was wäre ein passender Aufruf von syno-letsencrypt? Vermutlich mit dem Parameter new-cert?

 

[Fusion]

mmh, ok. Selbst wenn gar kein Zertifikat existiert hätte ich wenigstens irgendeine Ausgabe erwartet und nicht nur den kommentarlosen Sprung in die nächste Zeile...

Ja, für ein neues Zertifikat:
syno-letsencrypt new-cert -d sub.example.com -m email@example.com -vv

Die anderen Einstellungen in der GUI:
- Dienst: Systemvoreinstellung > für alle Dienste und Hosts für die kein Zertifikat explizit definiert ist verwenden dieses Zertifikat
- "use as default" / Standardzertifikat > benutze dieses Zertifikat für alle ab diesem Zeitpunkt neu installierten Dienste und neu angelegten Hostnamen. Das hat keinen Einfluss auf schon bestehende Konfigurationen.

 

[Jabberwacky]

Danke! Die Fehlermeldung deckt sich tatsächlich mit der von DSM. Ich habe in folgendem Log den Namen durch "xyz" ersetzt, ansonsten ist es unverändert:

DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
DEBUG: Email: info@xyz.de
DEBUG: Domain: xyz.synology.me
DEBUG: ==========================
DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
DEBUG: szUserAgent: [synology_apollolake_918+ DSM6.2-25426 Update 2 (DDNS)]
DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
{"error":100,"file":"client_network.cpp","msg":"Server is not reachable."}

Wie oben schon erwähnt, ich kann im Browser problemlos https://xyz.synology.me öffnen, die Ports 443 und 5001 sind offen.

Auffällig ist, dass die Fehlermeldung nach dem GET Request auf https://acme-v02.api.letsencrypt.org/directory erscheint. Aber auch das ist verfügbar.

Was könnte ich tun, um das Problem weiter einzugrenzen?

 

[Fusion]

Ist aber ein sehr kurzes Log.... für ein -vv

Ist die Lets Encrypt Domain auch von der NAS erreichbar, oder hattest du von dort getestet und nicht vom Rechner aus?

https://community.letsencrypt.org/t/synolgy-918-dsm-6-2-2-update-4-cannot-renew-certificates/164093

Hast zwar schon 6.2.3 nach dem Log...

 

[heavy]

Wenn die DSM Version mit 25426 wirklich die Installierte ist dann wird das nichts mehr mit einem LE Zertifikat. Du brauchst mindestens Version 6.2.4 (25556) Denn es hat sich sowohl das Root Zertifikat von LE was in der DS liegt geändert als auch der SSH Handshake.

 

[heavy]

Also auch wenn du nicht auf DSM7 gehen willst ist die Aktuellste Version 6.2.4 Update 4 und damit sollte dann auch das LE Zertifikat wieder gehen. Sollte selbst (aus Gründen) es nicht gehen auf diese Version upzudaten dann bist du hier im Falschen Forum.

 

[Jabberwacky]

Herzlichen Dank für eure Unterstützung - ja, das Update war notwendig. Ich habe zwar automatische Updates konfiguriert, aber dieses spezielle Update wurde offensichtlich nicht automatisch installiert. Ich vermute, das lag am Virtual Machine Manager. Denn dort war ich seit vielen DSM-Versionen noch auf der alten kostenlosen Version, weil die für mich funktioniert hat. Nachdem ich nun das DSM-Update manuell ausgelöst habe, kam die Meldung:



Jetzt laufen meine Virtual Machines wieder und ich habe das Gefühl, dass ich in die Bezahl-Version ein wenig "hineingeschoben" wurde. Ich hätte wohl vor dem Update mal die Update-Notizen lesen müssen. Vermutlich steht das da.

Und es wäre nett gewesen, wenn hinter der Fehlermeldung "No response from destination server" einfach erklärt wird, dass man die neue DSM-Version braucht. Ich habe mich einfach auf die automatischen Updates verlassen. Aber nicht so tragisch. Klappt wieder, vielen Dank nochmals für eure Unterstützung!

 

[heavy]

Ok dann nehme ich meine Anspielung aus meinem letzten Post zurück und wünsche dir hier im Forum weiterhin alles Gute und dass dir weiterhin geholfen werden kann. Nur der DS Typ und die DSM Version waren nah an den "Freunden" dran weshalb bei mir ein bisschen Zweifel kam.

 

[heavy]

Und es wäre nett gewesen, wenn hinter der Fehlermeldung "No response from destination server" einfach erklärt wird, dass man die neue DSM-Version braucht.

Naja die Frage ist halt wer sollte das dann wo schreiben? Denn die Meldung ist ja an sich richtig, die DS versucht über einen Verschlüsselungsalgorithmus einen Server zu erreichen, den dieser nicht mehr unterstützt und damit eben nicht mehr antwortet. Nur weiß die DS das ja nicht dass sich der Algorithmus geändert hat da ihr das Update fehlte somit kann sie keinen Hinweis darauf geben. LE kann keine andere Meldung bringen da sie auf die Anfragen gar nicht erst reagieren. Und Synology hat es ja in den Release Notes stehen dass eine der Major Änderung von 6.2.3 zu 6.2.4 das LE Zertifikat und der SSH Handshake ist.

 

[Jabberwacky]

OK das klingt schlüssig. Letzten Endes war der Auslöser meines Problems ja, dass das automatische Update nicht gelaufen ist. Das ist mir nicht aufgefallen, weil die Updates viele Jahre lang einfach glatt gelaufen sind, habe mich nie damit befasst (allenfalls musste ich Apps manuell updaten, aber nie den DSM selbst).